La « clé de Dieu » de la DeFi : après le vol de 285 millions de dollars chez Drift, découvrez la plus grande faille de la finance décentralisée

Auteur : Deep Tide TechFlow

1er avril, jour de la farce.

Le plus grand exchange de contrats perpétuels sur la chaîne Solana, Drift Protocol, est en train d’être vidé, et la première réaction de la communauté est : « Pas mal comme sketch de poisson d’avril. »

Ce n’est pas un sketch.

Vers 13 h 30, les comptes de surveillance on-chain Lookonchain et PeckShield ont presque simultanément déclenché l’alarme : un portefeuille inconnu commençant par « HkGz4K » est en train d’extraire des actifs du coffre de Drift à une vitesse stupéfiante. D’abord, 41 millions d’unités de tokens JLP, d’une valeur de 155 millions de dollars. Juste après : 51,6 millions de USDC, 125 000 WSOL, 164 000 cbBTC…… Des dizaines d’actifs s’écoulent « comme l’eau d’une baignoire dont on retire les bouchons », qui fuit en continu.

Une heure. Les actifs du coffre chutent de 309 millions de dollars à 41 millions. Plus de la moitié du TVL s’évapore.

L’équipe de Drift publie sur X un tweet, d’une formulation rare­ment pressée : « Drift Protocol subit une attaque active. Les dépôts et retraits sont suspendus. Nous coordonnons avec plusieurs sociétés de sécurité, des ponts inter-chaînes et des exchanges afin de maîtriser la situation. »

Puis vient cette phrase, destinée à entrer dans l’histoire de la crypto : « This is not an April Fools joke. »

Une clé, qui ouvre toutes les portes

Le butin numérique volé à Drift varie selon les sources. PeckShield estime environ 285 millions de dollars, Arkham donne plus de 250 millions, l’évaluation préliminaire de CertiK tourne autour de 136 millions. Mais quel que soit le chiffre retenu, il s’agit de la plus grande affaire de sécurité DeFi jusqu’à présent en 2026.

Plus que les chiffres, ce qui mérite attention, c’est la méthode d’attaque.

Le fondateur de PeckShield, Jiang Xuxian, l’a dit à Decrypt sans détour : la/les clé(s) administrateur derrière Drift « ont clairement été divulguées ou compromises ». Le scénario reconstitué par des chercheurs on-chain indique que les hackers ont obtenu un accès privilégié au protocole Drift, puis ont contrôlé l’orientation des flux de fonds du coffre.

En d’autres termes : aucune exploitation subtile d’une faille de smart contract, aucune attaque de flash loan, aucune manipulation d’oracle. C’est simplement l’échec de sécurité le plus primitif, le plus classique : quelqu’un a perdu sa clé privée.

Le détail encore plus inquiétant, c’est que l’attaquant n’a pas agi sur un coup de tête. Les données on-chain montrent que ce portefeuille a obtenu les fonds initiaux via Near Intents 8 jours avant l’attaque, puis est resté silencieux. La semaine précédant l’attaque, il a même reçu un tout petit virement d’une valeur de 2,52 dollars depuis le coffre de Drift. Un essai, un « coup à la porte ».

Une semaine plus tard, la porte a été enfoncée.

La chute de « Robinhood » version crypto

Pour la cofondatrice de Drift, Cindy Leow, le cauchemar du 1er avril a une teinte particulièrement cruelle en arrière-plan.

L’histoire de cette entrepreneure sino-malaisienne était autrefois l’une des meilleures histoires de motivation de la DeFi Solana. En 2016, elle a démarré avec de l’arbitrage Bitcoin entre la Chine et la Corée, a géré un fonds pour compte propre, a contribué des projets de produits dérivés sur Ethereum, puis en 2021, avec David Lu, elle a créé Drift en pariant sur l’avantage de vitesse de Solana pour les contrats perpétuels on-chain.

D’après la chronologie, Drift a pratiquement évité toutes les erreurs. En 2024, elle a obtenu deux tours de financement, menés respectivement par Polychain et Multicoin, pour un total de 52,5 millions de dollars. En lançant un marché de prédiction pour concurrencer Polymarket, elle a mis en place un levier jusqu’à 50x ; le TVL a franchi 550 millions de dollars ; le volume de transactions cumulé a dépassé 50 milliards. Dans une interview accordée à Fortune, Leow a utilisé un positionnement ambitieux : « faire un “Robinhood version crypto” ».

Cette métaphore, aujourd’hui, se lit avec un goût amer. Le cœur de la promesse de Robinhood, c’est de donner aux gens ordinaires accès aux outils financiers de Wall Street. Le cœur de la promesse de Drift, c’est de donner aux utilisateurs une expérience de trading « non-custodial » sur la chaîne : votre argent ne passe par les mains de personne, ne fait que dialoguer avec le code.

Mais derrière le code, il y a une clé administrateur. Et la sécurité de cette clé dépend en fin de compte des personnes, pas de la cryptographie.

Il y a aussi une coïncidence historique qui pique les nerfs. En 2022, à l’époque de Drift v1, le protocole avait déjà connu un incident où le coffre avait été vidé. L’équipe a rédigé ensuite un rapport technique extrêmement détaillé ; elle a même publié un extrait de code de preuve de concept montrant comment l’attaquant pouvait vider l’intégralité du coffre en une seule transaction. À l’époque, la perte s’élevait à 14,5 millions de dollars et l’équipe a indemnisé les utilisateurs intégralement de sa propre poche.

Quatre ans plus tard, le même cauchemar s’est reproduit à une échelle 20 fois plus grande.

La foi décentralisée, le talon d’Achille centralisé

En élargissant un peu le champ au-delà de Drift, on voit se former une règle inconfortable.

Au début de 2025, le service de gestion de clés AWS de Resolv Labs a été compromis : les attaquants, grâce à des clés privilégiées, ont approuvé de vastes opérations de frappe de stablecoins USR, déclenchant des pertes en chaîne sur plusieurs plateformes. La même année, en 2025, le total des vols de crypto a atteint un record historique de 3,4 milliards de dollars ; le rapport de Chainalysis a particulièrement pointé un changement de tendance : les événements les plus destructeurs surviennent au niveau de l’infrastructure. Les machines des développeurs compromises, une clé de frappe unique stockée dans le cloud, les processus de signature hameçonnés par ingénierie sociale… ce sont là les véritables trous noirs qui aspirent les fonds.

Et maintenant, il y a Drift.

Si vous mettez ces cas côte à côte, une conclusion est presque impossible à éviter : la sécurité des clés privées a remplacé les failles de smart contracts pour devenir le plus grand risque systémique de la DeFi.

Il y a un fossé de compréhension, si grand qu’il pourrait avaler des milliards.

L’histoire que la DeFi raconte au public, c’est « la décentralisation », « la non-custody », « sans confiance ». Vos actifs sont conservés par le code, et aucun intermédiaire ne peut toucher à votre argent. Les utilisateurs y ont cru : ils ont déposé leur argent dans ces protocoles, en se disant que « je traite avec des mathématiques ».

Mais la réalité est que, pratiquement, chaque protocole DeFi en exécution a une ou plusieurs « clés d’accès divines » : admin key, droits de mise à niveau, contrôle du coffre, interrupteurs d’arrêt d’urgence. La présence de ces clés sert parfois la sécurité (pour déclencher un frein d’urgence quand quelque chose tourne mal), parfois la flexibilité (pour upgrader la logique des contrats). Mais leur essence est la même : un point de confiance centralisé, enveloppé dans un récit décentralisé.

Les utilisateurs pensent interagir avec le code. En réalité, ils font confiance à une personne, ou à une petite poignée de personnes — qui ne se trompent pas, ne se font pas hameçonner, ne sont pas contraintes, et ne laissent pas leur ordinateur portable dans un café au milieu de la nuit.

Ce n’est pas un problème propre à Drift ; c’est une contradiction structurelle de toute l’industrie DeFi.

Où sont passés 285 millions de dollars

Les actions on-chain de l’attaquant sont propres, nettes, avec le calme d’un joueur de compétition.

Après avoir retiré les actifs du coffre de Drift, il convertit rapidement la majeure partie des tokens en stablecoins, puis transfère les fonds vers le réseau Ethereum via le pont inter-chaînes Wormhole. Sur Ethereum, il achète environ 19 913 ETH (valeur d’environ 42,6 millions de dollars) avec une partie des stablecoins, le reste des fonds est réparti sur plusieurs adresses de portefeuille.

Un détail absurde : le portefeuille de l’attaquant détient aussi une grande quantité de Fartcoin, soit environ 2,5 % de l’offre totale de ce token. Un hacker qui vient juste de terminer le plus grand vol DeFi annuel a en main un tas de meme coins baptisés d’après des pets.

Au moment de la publication, les dépôts et retraits de Drift restent suspendus ; le token DRIFT est passé d’environ 0,072 dollar avant l’attaque à près de 0,05 dollar, soit une baisse de plus de 28 %. En partant de son plus haut historique à 2,60 dollars, la baisse cumulée dépasse 98 %. Le portefeuille Phantom affiche déjà un avertissement aux utilisateurs qui tentent d’accéder à Drift.

L’équipe de Drift indique qu’elle coordonne avec des sociétés de sécurité, les opérateurs de ponts inter-chaînes et des exchanges centralisés afin d’essayer de geler et de tracer les fonds volés. Mais si l’histoire peut servir de référence, les chances de récupérer les fonds transférés via des ponts inter-chaînes et dispersés dans plusieurs portefeuilles ne sont pas très optimistes.

Un problème auquel un secteur doit être honnête

Ce coup porté par Drift touche une plaie que l’industrie préfère ne pas regarder en face.

Dans un rapport publié fin 2025, Chainalysis avait optimistement indiqué que la sécurité DeFi avait fait « des progrès substantiels », et que même si le TVL doublait pour revenir à 119 milliards de dollars, les pertes des hackers DeFi étaient en baisse. Le cas de Venus Protocol a été présenté comme un exemple positif : le système de surveillance de sécurité a détecté une anomalie 18 heures avant l’attaque ; le protocole a rapidement suspendu ses opérations ; le mécanisme de gouvernance a gelé les fonds de l’attaquant ; et même l’attaquant a subi des pertes.

Drift rabaisse ce « récit de progrès ». Vous pouvez pousser les audits de smart contracts à l’extrême, déployer la surveillance on-chain la plus avancée, mais tant qu’une clé administrateur est susceptible d’être victime d’une ingénierie sociale, d’un hameçonnage ou d’une rupture par la force brute, toute l’infrastructure de sécurité ressemble à une forteresse construite sur du sable.

L’industrie DeFi doit faire une pause et répondre honnêtement à une question : quand vous dites aux utilisateurs « non-custodial », qu’entendez-vous exactement par là ?

Si la clé admin du protocole peut transférer à tout moment tous les actifs du coffre, quelle différence réelle y a-t-il avec le fait de mettre l’argent dans le compte bancaire d’une personne que vous ne connaissez pas ? Au moins, la banque dispose d’une assurance, d’une régulation et d’un droit de recours en justice.

La réponse n’est peut-être pas de supprimer ces permissions d’administration ; dans beaucoup de cas, leur existence est nécessaire. Mais au moins, l’industrie devrait arrêter de faire semblant qu’elles n’existent pas. La gouvernance multi-signatures, les time locks, les modules de sécurité matérielle, la rotation des clés… ces solutions techniques existent depuis des années, mais trop de protocoles lient la sécurité de plusieurs centaines de millions de dollars à la vigilance d’une ou deux personnes.

Le rêve de « Robinhood version crypto » est beau. Mais avant de le réaliser, il faut peut-être d’abord répondre à une question plus fondamentale : qui conserve cette clé ?